Kan de Windows-service AD FS niet starten vanwege een persoonlijke sleutel

Microsoft.ActiveDirectoryFederationServices2012R2.FederationServerBadConfigurationIdentityCertificateHasNoPrivateKeyMonitor (UnitMonitor)

Knowledge Base article:

Samenvatting

De Windows-service AD FS kan niet worden gestart omdat het AD FS- serviceaccount geen toegang heeft tot de persoonlijke sleutel van het certificaat voor token-ondertekening of het certificaat voor het ontsleutelen van tokens in de AD FS-configuratiedatabase.

Zodra de Windows-service AD FS is gestart, krijgt de monitor de status Groen en wordt de oorspronkelijke kritieke melding automatisch gewist.

Oorzaken

Deze status kan optreden wanneer het certificaat is gevonden in het opgegeven archief en wanneer er een probleem is met de toegang tot de persoonlijke sleutel van het certificaat. Deze status wordt mogelijk veroorzaakt door de volgende factoren:

Het certificaat is geïnstalleerd vanuit een bron die geen persoonlijke sleutel bevat, bijvoorbeeld een CER- of P7B-bestand.
De persoonlijke sleutel van het certificaat is geïmporteerd (bijvoorbeeld vanuit een PFX-bestand) in een archief dat niet hetzelfde is als het archief dat opgegeven is in deze gebeurtenis.
Het certificaat is gegenereerd als onderdeel van een certificaataanvraag waarin de optie 'Machine Key' niet is opgegeven.
De identiteit van de Federation Service beschikt niet over leestoegang voor de persoonlijke sleutel van het certificaat.

Oplossingen

Dit zijn de mogelijke oplossingen voor deze status:

Als het certificaat is geïmporteerd vanuit een bron die niet beschikt over een persoonlijke sleutel, selecteert u een certificaat met een persoonlijke sleutel of importeert u het certificaat opnieuw vanuit een bron waarin de persoonlijke sleutel (bijvoorbeeld een PFX-bestand) is opgenomen.
Als het certificaat is geïmporteerd in een gebruikerscontext, controleert u of het archief, dat eerder is opgegeven, overeenkomt met het archief waarin het certificaat is geïmporteerd.
Als het certificaat is gegenereerd door een certificaataanvraag waarin de optie 'Machine Key' niet is opgegeven en de sleutel is gemarkeerd als exporteerbaar, exporteert u het certificaat met een persoonlijke sleutel vanuit het gebruikersarchief naar een PFX-bestand en importeert u dit direct weer in het archief dat opgegeven is in het configuratiebestand.
Als de sleutel niet is gemarkeerd als exporteerbaar, vraagt u een nieuw certificaat aan met behulp van de optie 'Machine Key'.
Als de identiteit van de Federation Service niet beschikt over leestoegang voor de persoonlijke sleutel van het certificaat, corrigeert u deze status met behulp van de module Certificaten. Zie voor meer informatie het gedeelte 'Bevestigen dat persoonlijke sleutels voor certificaten toegankelijk zijn vanaf het AD FS-servicegebruikersaccount' in paragraaf 'Dingen om te controleren voor het oplossen van AD FS-problemen' in de AD FS-probleemoplossingsgids.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer

Parent Monitor

System.Health.AvailabilityState

Category

AvailabilityHealth

Enabled

True

Alert Generate

True

Alert Severity

Error

Alert Priority

Normal

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.2SingleEventLog2StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

Kan de Windows-service AD FS niet starten vanwege een persoonlijke sleutel

De persoonlijke sleutel voor het certificaat in de AD FS-configuratiedatabase kan niet worden geopend door het AD FS-serviceaccount. Kijk op het tabblad Waarschuwingscontext voor details van de gebeurtenis met betrekking tot de waarden van dit certificaat.

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServerBadConfigurationIdentityCertificateHasNoPrivateKeyMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer" ParentMonitorID="Health!System.Health.AvailabilityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLog2StateMonitorType" ConfirmDelivery="true">

  <Category>AvailabilityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServerBadConfigurationIdentityCertificateHasNoPrivateKeyMonitor_AlertMessageResourceID">

    <AlertOnState>Error</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>Error</AlertSeverity>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="FirstEventRaised" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>

    <OperationalState ID="SecondEventRaised" MonitorTypeStateID="SecondEventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <FirstComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>

    <FirstLogName>$Target/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</FirstLogName>

    <FirstExpression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">133</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <RegExExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>MatchesMOM2005RegularExpression</Operator>

            <Pattern>(^AD FS$)</Pattern>

          </RegExExpression>

        </Expression>

      </And>

    </FirstExpression>

    <SecondComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>

    <SecondLogName>$Target/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</SecondLogName>

    <SecondExpression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">100</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <RegExExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>MatchesMOM2005RegularExpression</Operator>

            <Pattern>(^AD FS$)</Pattern>

          </RegExExpression>

        </Expression>

      </And>

    </SecondExpression>

  </Configuration>

</UnitMonitor>